網(wǎng)絡(luò)設(shè)備配置與管理培訓(xùn)教材(54p)課件

1、網(wǎng)絡(luò)設(shè)備配置與管理平?jīng)鲂畔⒐こ虒W(xué)校2017年9月6日項(xiàng)目10控制網(wǎng)絡(luò)的數(shù)據(jù)流量【職業(yè)能力目標(biāo)】掌握IP標(biāo)準(zhǔn)及擴(kuò)展訪問(wèn)控制列表的功能及用途學(xué)會(huì)IP標(biāo)準(zhǔn)訪問(wèn)控制列表的配置方法。學(xué)會(huì)IP擴(kuò)展訪問(wèn)控制列表的配置方法。任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)情境你是公司的網(wǎng)絡(luò)管理員，公司的財(cái)務(wù)處、計(jì)劃處和辦公室分屬不同的3個(gè)網(wǎng)段，三個(gè)部門(mén)之間通過(guò)路由器進(jìn)行信息傳遞。為了安全，公司領(lǐng)導(dǎo)要求你對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制，實(shí)現(xiàn)公司的計(jì)劃處主機(jī)可以訪問(wèn)財(cái)務(wù)處主機(jī)，辦公室主機(jī)不能訪問(wèn)財(cái)務(wù)處主機(jī)。任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)分析對(duì)于這一工作任務(wù)，首先對(duì)兩路由器進(jìn)行基本配置，實(shí)現(xiàn)三個(gè)網(wǎng)段可以互相訪問(wèn)，然后對(duì)距離

2、目的地址較近的路由器Router4配置IP標(biāo)準(zhǔn)訪問(wèn)控制列表，允許計(jì)劃處主機(jī)發(fā)出的數(shù)據(jù)包通過(guò)，不允許辦公室的主機(jī)發(fā)出的數(shù)據(jù)包通過(guò)，最后將這一策略加到路由器Router4的FA 0端口，拓?fù)鋱D如圖所示。任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施1PC機(jī)配置財(cái)務(wù)處主機(jī)PC2的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為；辦公室主機(jī)PC1的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為；計(jì)劃處主機(jī)PC0的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為。任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router3配置第一步：進(jìn)入全局配置模式Router3enableRouter3#configure terminal Ente

3、r configuration commands, one per line. End with CNTL/Z.Router3 (config)#任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router3配置第二步：為路由器端口配置IP地址Router3(config)#interface fastEthernet 0/0Router3(config-if)#ip address Router3(config-if)#no shutdown Router(config)#interface fastEthernet 1/0Router(config-if)#ip address Rout

4、er(config-if)#no shRouter3(config)#interface fastEthernet 0/1Router3(config-if)#ip address Router3(config-if)#no shut第三步：配置靜態(tài)路由Router(config)#ip route Router(config)#任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施3路由器Router4配置第一步：進(jìn)入全局配置模式Router4enableRouter4#configure terminal Enter configuration commands, one per line. End

5、with CNTL/Z.Router4 (config)#任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施3路由器Router4配置第二步：為路由器端口配置IP地址Router4(config)#interface fastEthernet 0/0Router4(config-if)#ip address Router4(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEth

6、ernet0/0, changed state to upRouter4(config-if)#exitRouter4(config)#interface fastEthernet 0/1Router4(config-if)#ip address Router4(config-if)#no shutdown 第三步：為路由器配置靜態(tài)路由Router4(config)#ip route Router4(config)#ip route 任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施4在路由器Router4上配置IP標(biāo)準(zhǔn)訪問(wèn)控制列表拒絕來(lái)自網(wǎng)段的數(shù)據(jù)流量通過(guò)。Router4(config)#acces

7、s-list 1 deny 55Router4(config)#允許來(lái)自網(wǎng)段的數(shù)據(jù)流量通過(guò)。Router4(config)#accEss-list 1 permit 55Router4(config)#顯示IP標(biāo)準(zhǔn)訪問(wèn)控制列表Router4#show access-lists 1Standard IP access list 1 deny 55 permit 55Router4#任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施5把IP標(biāo)準(zhǔn)訪問(wèn)控制列表應(yīng)用在路由器Router4的FA 0/0端口上Router4(config)#interface fastEthernet 0/0Router4(con

8、fig-if)#ip access-group 1 outRouter4(config-if)#exitRouter4(config)#任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施6驗(yàn)證測(cè)試在PC0主機(jī)的命令提示符下Ping 0能Ping通，在PC1主機(jī)的命令提示符下Ping 0不能Ping通，測(cè)試結(jié)果如圖所示。任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表相關(guān)知識(shí)1訪問(wèn)控制列表概述訪問(wèn)控制列表（ACL）是在交換機(jī)和路由器上經(jīng)常采用的一種防火墻技術(shù)，它可以對(duì)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過(guò)濾。它有以下一些作用：在內(nèi)網(wǎng)部署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問(wèn)；內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)，進(jìn)行安全的數(shù)據(jù)過(guò)濾；防止常

9、見(jiàn)病毒、木馬、攻擊對(duì)用戶的破壞。所以說(shuō)，掌握ACL技術(shù)對(duì)于網(wǎng)管員非常重要。其實(shí)，ACL的配置就和普通的規(guī)則一樣，就是兩個(gè)步驟：一是定義規(guī)則；二是將規(guī)則應(yīng)用于端口。在應(yīng)用于端口時(shí)，需要注意是入棧應(yīng)用還是出棧應(yīng)用。任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表相關(guān)知識(shí)2編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表（1）編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表介紹。編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表是在路由器上建立的標(biāo)準(zhǔn)訪問(wèn)控制列表，其編號(hào)取值范圍為099之間整數(shù)，編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表只根據(jù)源IP地址過(guò)濾流量，這個(gè)IP地址可以是一臺(tái)主機(jī)、整個(gè)網(wǎng)絡(luò)、或者特定網(wǎng)絡(luò)上的特定主機(jī)。（2）定義編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表。所有編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表都是在全局配置模式下設(shè)置的，建立IP編號(hào)

10、標(biāo)準(zhǔn)訪問(wèn)控制列表的格式如下：Router(config)#access-list access-list number permit/deny source source mask任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表相關(guān)知識(shí)2編號(hào)標(biāo)準(zhǔn)訪問(wèn)控制列表（3）應(yīng)用標(biāo)準(zhǔn)訪問(wèn)控制列表。一旦建立了標(biāo)準(zhǔn)訪問(wèn)控制列表，需要將它們應(yīng)用到路由器的一個(gè)端口上。應(yīng)用到一個(gè)端口上可以選擇入棧或出棧兩個(gè)方向，對(duì)于某一個(gè)接口，當(dāng)要將從設(shè)備外的數(shù)據(jù)經(jīng)過(guò)接口流入設(shè)備內(nèi)時(shí)做訪問(wèn)控制，就是入棧應(yīng)用；當(dāng)要將從設(shè)備內(nèi)的數(shù)據(jù)經(jīng)過(guò)接口流出設(shè)備時(shí)做訪問(wèn)控制，就是出棧應(yīng)用。路由器一個(gè)接口只能應(yīng)用一個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表。（4）查看標(biāo)準(zhǔn)訪問(wèn)控制列表。配

11、置完標(biāo)準(zhǔn)訪問(wèn)控制列表后，可以使用命令show access-lists命令來(lái)檢驗(yàn)標(biāo)準(zhǔn)訪問(wèn)控制列表。任務(wù)1創(chuàng)建編號(hào)IP標(biāo)準(zhǔn)訪問(wèn)控制列表相關(guān)知識(shí)3命名標(biāo)準(zhǔn)訪問(wèn)控制列表在三層交換機(jī)上配置命名標(biāo)準(zhǔn)訪問(wèn)控制列表，也是采用定義ACL、在接口上應(yīng)用ACL、查看ACL等步驟進(jìn)行。在交換機(jī)特權(quán)模式下，可以通過(guò)以下步驟來(lái)創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)訪問(wèn)控制列表。第1步：進(jìn)入全局配置模式。第2步：進(jìn)入Access-list配置模式，用名字來(lái)定義一條標(biāo)準(zhǔn)訪問(wèn)控制列表。第3步：定義標(biāo)準(zhǔn)訪問(wèn)控制列表?xiàng)l件。第4步：應(yīng)用訪問(wèn)控制列表任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)情境你是公司的網(wǎng)絡(luò)管理員，公司的財(cái)務(wù)處、計(jì)劃處和辦公室分屬不同的3個(gè)

12、網(wǎng)段，三個(gè)部門(mén)之間通過(guò)三層交換機(jī)進(jìn)行信息傳遞，為了安全，公司領(lǐng)導(dǎo)要求你對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制，實(shí)現(xiàn)公司的計(jì)劃處主機(jī)可以訪問(wèn)財(cái)務(wù)處主機(jī)，辦公室主機(jī)不能訪問(wèn)財(cái)務(wù)處主機(jī)。任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)分析對(duì)于這一工作任務(wù)，首先對(duì)交換機(jī)進(jìn)行基本配置，實(shí)現(xiàn)三個(gè)網(wǎng)段可以互相訪問(wèn)，然后對(duì)交換機(jī)配置IP標(biāo)準(zhǔn)訪問(wèn)控制列表，允許計(jì)劃處主機(jī)發(fā)出的數(shù)據(jù)包通過(guò)，不允許辦公室的主機(jī)發(fā)出的數(shù)據(jù)包通過(guò)，最后將這一策略加到交換機(jī)VLAN 30的SVI端口輸出方向上，拓?fù)鋱D如圖所示。任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施1PC機(jī)配置PC0計(jì)算機(jī)的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為；PC1計(jì)算機(jī)的IP地址配置為0，

13、子網(wǎng)掩碼為，網(wǎng)關(guān)為；PC2計(jì)算機(jī)的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為。任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施2三層交換機(jī)配置第一步：進(jìn)入全局配置模式SwitchenableSwitch#configure terminalConfiguring from terminal, memory, or network terminal? Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#第二步：?jiǎn)⒂萌龑咏粨Q機(jī)路由功能Switch(config)#ip routing任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制

14、列表任務(wù)實(shí)施2三層交換機(jī)配置第三步：建立vlan并分配端口及IP地址Switch(config)#vlan 10Switch(config)#vlan 20Switch(config)#vlan 30Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10Switch(config)#interface fastEthernet 0/6Switch(config-if)#switchport mode

15、access Switch(config-if)#switchport access vlan 20Switch(config)#interface fastEthernet 0/20Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 30Switch(config)#interface vlan 10Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exitSwitch(conf

16、ig)#interface vlan 20Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exitSwitch(config)#interface vlan 30Switch(config-if)#ip address Switch(config-if)#no shutdown Switch(config-if)#exit任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施2三層交換機(jī)配置第四步：查看三層交換機(jī)路由表測(cè)試結(jié)果如圖任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施3命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表的配

17、置Switch(config)#ip access-list standard ABCSwitch(config-std-nacl)#permit 55Switch(config-std-nacl)#exitSwitch(config)#interface vlan 30Switch(config-if)#ip access-group ABC outSwitch(config-if)#exitSwitch(config)#任務(wù)2創(chuàng)建命名IP標(biāo)準(zhǔn)訪問(wèn)控制列表任務(wù)實(shí)施4驗(yàn)證測(cè)試在計(jì)劃處PC1主機(jī)的命令提示符下Ping 0，可以PING通；在辦公室PC0主機(jī)的命令提示符下Ping 0，不能PING

18、通，測(cè)試結(jié)果如圖10-6、10-7所示。任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)情境你是公司的網(wǎng)絡(luò)管理員，公司的網(wǎng)絡(luò)管理中心分別架設(shè)了FTP、WEB服務(wù)器，其中FTP服務(wù)器供計(jì)劃處專用，辦公室不可使用；WEB服務(wù)器計(jì)劃處、辦公室都可使用。FTP及WEB服務(wù)器、計(jì)劃處、辦公室分別屬于三個(gè)不同網(wǎng)段，三個(gè)網(wǎng)段之間通過(guò)路由器進(jìn)行信息交換，要求你對(duì)路由器進(jìn)行設(shè)置實(shí)現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)流量控制。任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)分析針對(duì)這一工作任務(wù)，首先對(duì)兩路由器進(jìn)行基本配置，實(shí)現(xiàn)三個(gè)網(wǎng)段互訪；然后對(duì)距離控制源地址較近的路由器配置IP擴(kuò)展訪問(wèn)控制列表，不允許辦公室主機(jī)發(fā)出的FTP數(shù)據(jù)包通過(guò)，允許計(jì)劃處主機(jī)發(fā)出的數(shù)據(jù)包通

19、過(guò)，最后將這一策略加到路由器端口。網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖所示。任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)實(shí)施1PC機(jī)配置PC0計(jì)算機(jī)的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為；PC1計(jì)算機(jī)的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為；FTP的IP地址為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為；Web的IP地址為1，子網(wǎng)掩碼為，網(wǎng)關(guān)為。任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router0的配置第一步：進(jìn)入全局配置模式Router0enableRouter0#config terminal Enter configuration commands, one per line. End with CNTL/Z.Router0 (c

20、onfig)#第二步：為各個(gè)接口分配IP地址第三步：配置路由Router0(config)#ip route Router0(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter0#任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)實(shí)施3路由器Router1的配置第一步：進(jìn)入全局配置模式Router1enableRouter1#config terminal Enter configuration commands, one per line. End with CNTL/Z.Router1 (config)#第二步：為各個(gè)

21、接口分配IP地址任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)實(shí)施3路由器Router1的配置第三步：配置路由Router1(config)#ip route Router1(config)#ip route Router1(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter1#第四步：檢查路由表任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)實(shí)施4在路由器Router0上配置IP擴(kuò)展訪問(wèn)控制列表第一步：拒絕來(lái)自網(wǎng)段去網(wǎng)段的FTP流量通過(guò)。Router0(config)#access-list 101 deny tcp 55 55

22、eq FTP第二步：允許其他的流量通過(guò)。Router0(config)#access-list 101 permit ip any any第三步：應(yīng)用IP擴(kuò)展訪問(wèn)控制列表Router0(config)#interface fastEthernet 0/0Router0(config-if)#ip access-group 101 in任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表任務(wù)實(shí)施5驗(yàn)證配置在計(jì)劃處PC1主機(jī)的命令提示符下Ping 0，可以PING通；在辦公室PC0主機(jī)的命令提示符下Ping 0，不能PING通，測(cè)試結(jié)果如圖所示。任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表相關(guān)知識(shí)1.編號(hào)擴(kuò)展訪問(wèn)控制列表(1）擴(kuò)展訪

23、問(wèn)控制列表簡(jiǎn)述。擴(kuò)展編號(hào)訪問(wèn)控制列表同標(biāo)準(zhǔn)訪問(wèn)控制列表一樣也是路由器上創(chuàng)建的，其編號(hào)范圍是100199。擴(kuò)展IP訪問(wèn)控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號(hào)等信息來(lái)過(guò)濾流量。 任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表相關(guān)知識(shí)1.編號(hào)擴(kuò)展訪問(wèn)控制列表(1）擴(kuò)展訪問(wèn)控制列表簡(jiǎn)述。擴(kuò)展編號(hào)訪問(wèn)控制列表同標(biāo)準(zhǔn)訪問(wèn)控制列表一樣也是路由器上創(chuàng)建的，其編號(hào)范圍是100199。擴(kuò)展IP訪問(wèn)控制列表可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號(hào)等信息來(lái)過(guò)濾流量。 任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表相關(guān)知識(shí)1.編號(hào)擴(kuò)展訪問(wèn)控制列表（2）配置擴(kuò)展訪問(wèn)控制列表。和標(biāo)準(zhǔn)訪問(wèn)控制列表一樣，擴(kuò)展訪問(wèn)控制列表也在

24、全局模式下輸入，格式如下：Router(config)#access-list listnumberpermit|denyprotocol source source-wildcard-mask destination destination-wildcard-mask operator operand任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表相關(guān)知識(shí)1.編號(hào)擴(kuò)展訪問(wèn)控制列表（2）配置擴(kuò)展訪問(wèn)控制列表。和標(biāo)準(zhǔn)訪問(wèn)控制列表一樣，擴(kuò)展訪問(wèn)控制列表也在全局模式下輸入，格式如下：Router(config)#access-list listnumberpermit|denyprotocol source sour

25、ce-wildcard-mask destination destination-wildcard-mask operator operand任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表相關(guān)知識(shí)1.編號(hào)擴(kuò)展訪問(wèn)控制列表（3）應(yīng)用訪問(wèn)控制列表。在路由器上應(yīng)用訪問(wèn)控制列表命令如表所示。操 作命 令指定接口上過(guò)濾接收?qǐng)?bào)文規(guī)則Ip access-group listnumber in取消接口上過(guò)濾接收?qǐng)?bào)文規(guī)則No Ip access-group listnumber in指定接口上過(guò)濾發(fā)送報(bào)文規(guī)則Ip access-group listnumber out取消接口上過(guò)濾發(fā)送報(bào)文規(guī)則No Ip access-grou

26、p listnumber out任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表相關(guān)知識(shí)2.命名擴(kuò)展訪問(wèn)控制列表第1步：進(jìn)入全局配置模式。Switch#configure terminalSwitch(config)#第2步：用名字定義一個(gè)命名擴(kuò)展訪問(wèn)列表。Switch(config)#ip access-list extended nameSwitch(config-ext-nacl)#第3步：定義擴(kuò)展訪問(wèn)列表?xiàng)l件。Switch(config-ext-nacl)#deny|permit protocol source source-wildcard|host source|anyoperator portde

27、stination-wildcard|host destination|anyoperator portSwitch(config-ext-nacl)#endSwitch(config)#任務(wù)3創(chuàng)建IP擴(kuò)展訪問(wèn)控制列表相關(guān)知識(shí)2.命名擴(kuò)展訪問(wèn)控制列表第4步：應(yīng)用訪問(wèn)控制列表。Switch(config)#interface vlan nSwitch(config-if)#ip access-group name in|outSwitch(config-if)#endSwitch#任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)情境你是公司的網(wǎng)絡(luò)管理員，為了保證公司員工工作的效率，公司要求員工上班工作期間只

28、能訪問(wèn)內(nèi)部網(wǎng)站，下班后可以隨意，不受限制。任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)分析針對(duì)這一工作任務(wù)，首先對(duì)路由器進(jìn)行基本配置，然后配置基于時(shí)間的IP擴(kuò)展訪問(wèn)控制列表，不允許員工在工作期間發(fā)出的數(shù)據(jù)包通過(guò)，最后將這一策略加到路由器端口。網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如圖所示。任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)實(shí)施1PC機(jī)及Web配置PC0計(jì)算機(jī)的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為；Web服務(wù)器的IP地址配置為0，子網(wǎng)掩碼為，網(wǎng)關(guān)為。任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router0的配置第一步：進(jìn)入全局配置模式Router0enableRouter0#config terminal Enter

29、configuration commands, one per line. End with CNTL/Z.Router0 (config)#第二步：為各個(gè)接口分配IP地址任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router0的配置第三步：配置路由器時(shí)鐘Router0#show clock !查看路由器當(dāng)前時(shí)鐘clock: 1987-1-16 5:19:9Router0#clock set 16:03:40 27 april 2011-4-10 !重設(shè)路由器當(dāng)前時(shí)鐘和實(shí)際時(shí)鐘同步Router0#show clockclock: 2011-4-10 16:04:9任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)

30、控制列表任務(wù)實(shí)施2路由器Router0的配置第四步：定義時(shí)間段。Router0(config)#time-range freetimeRouter0(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30 dec 2011Router0(config-time-range)#periodic daily 0:00 to 9:00 !定義周期性時(shí)間段Router0(config-time-range)#periodic daily 17:00 to 23:59 !定義周期性時(shí)間段任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)實(shí)施2路由器

31、Router0的配置第五步：定義訪問(wèn)控制列表規(guī)則。Router0(config)#access-list 100 permit ip any host !定義擴(kuò)展訪問(wèn)控制列表，允許訪問(wèn)主機(jī)Router0(config)#access-list 100 permit ip any any time-range freetime ! 關(guān)聯(lián)time-range接口t1，允許在規(guī)定時(shí)間段訪問(wèn)任何網(wǎng)絡(luò)任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router0的配置第六步：將訪問(wèn)列表規(guī)則應(yīng)用在接口上。Router0(config)#interface fastethernet 1/0Router0(c

32、onfig-if)#ip access-group 100 in !在F1/0接口上進(jìn)行入棧應(yīng)用任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router0的配置第六步：將訪問(wèn)列表規(guī)則應(yīng)用在接口上。Router0(config)#interface fastethernet 1/0Router0(config-if)#ip access-group 100 in !在F1/0接口上進(jìn)行入棧應(yīng)用任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表任務(wù)實(shí)施2路由器Router0的配置第七步：驗(yàn)證測(cè)試。在服務(wù)器主機(jī)上配置Web服務(wù)器，服務(wù)器IP地址為。1、驗(yàn)證在工作時(shí)間的服務(wù)器的訪問(wèn)。更改路由器的當(dāng)前時(shí)間為上班時(shí)間，

33、PC機(jī)可以訪問(wèn)的Web服務(wù)。更改服務(wù)器的IP地址為，PC機(jī)無(wú)法訪問(wèn)Web服務(wù)。2、驗(yàn)證在非工作時(shí)間的服務(wù)器的訪問(wèn)。更改路由器的當(dāng)前時(shí)間為下班時(shí)間，PC機(jī)可以訪問(wèn)的Web服務(wù)。更改服務(wù)器的IP地址為，PC機(jī)同樣可以訪問(wèn)Web服務(wù)。任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表相關(guān)知識(shí)1校正路由器時(shí)鐘為了有效地實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制列表功能，有必要校正路由器時(shí)鐘，具體操作如表所示。命 令功 能Routerenable進(jìn)入特權(quán)模式Router#clock set hh:mm:ss date month year or clock set hh:mm:ss month date year設(shè)置時(shí)鐘Router#clo

34、ck update-calendar更新路由器時(shí)鐘Router#end退出特權(quán)模式任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表相關(guān)知識(shí)2創(chuàng)建并定義time-range端口創(chuàng)建時(shí)間接口、定義時(shí)間范圍等操作如表所示。命 令功 能Router#configure terminal進(jìn)入全局模式Router(config)#time-range name創(chuàng)建接口Router(config-time-range)#absolut start time dateend time dateand/or periodic days-of-the-week hh:mm to days-of-the-weekhh:mm設(shè)置時(shí)間

35、段任務(wù)4創(chuàng)建基于時(shí)間的訪問(wèn)控制列表相關(guān)知識(shí)3關(guān)聯(lián)time-range接口與ACL只允許擴(kuò)展訪問(wèn)控制列表ACL關(guān)聯(lián)time-range接口，具體操作如表所示。命 令功 能Router#configure terminal進(jìn)入特權(quán)模式Router(cconfig)#access-list deny|permitprotocol source src-wildcard destination desti-wildcard time-range name設(shè)置擴(kuò)展ACL，并將time-range關(guān)聯(lián)到ACLRouter(cconfig)#exit退出全局配置模式項(xiàng)目10控制網(wǎng)絡(luò)的數(shù)據(jù)流量小結(jié)訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)